taibeihacker
Moderator
代理生命周期
注册代理
一旦代理程序安裝在要監控的計算機上,就必須向Wazuh管理器註冊才能建立通信。這可以通過命令行,Authd或RESTful API完成。註冊代理將保留在管理器中,直到用戶將其刪除。在任何給定時間內,代理可能有四種不同的狀態,如下圖所示:
代理状态
从未连接:代理已註冊但尚未連接到管理器。待定 身份驗證過程正在等待:管理服務器已收到來自代理的連接請求,但尚未收到任何其他內容。這可能表示防火牆問題。代理將在其連接生命週期中處於此狀態一次。
活动:代理已成功連接,現在可以與管理器通信。
已断开连接:如果代理在半小時內未收到來自代理的任何消息,則管理員將認為代理已斷開連接。
删除代理
從agent主機的管理器中刪除代理程序後,連接生命週期即將結束。這可以通過RESTful API,命令行或Authd完成(如果啟用了force選項)。强制插入
如果您嘗試添加具有已註冊到其他代理的IP地址的代理,該manage_agents命令將返回錯誤。您仍然可以使用-F選項強制添加。列如:
安裝了名為Server1的IP 10.0.0.10的代理,並且ID為005.如果我們假設必須重新安裝服務器,則必須重新安裝新的代理並將其連接到管理器。在這種情況下,我們可以使用參數-F 0,這意味著將刪除先前的代理(005)(使用備份),並且將使用IP重新創建新代理。新代理將具有新ID:
/var/ossec/bin/manage_agents -n Server1 -a 10.10.10.10 -F 0
列出代理
運行/var/ossec/bin/agent_control可列出代理的連接狀態:[root@wazhu-manage ~]# /var/ossec/bin/agent_control -l
Wazuh agent_control. List of available agents:
ID: 000, Name: wazhu-manage (server), IP: 127.0.0.1, Active/Local
ID: 001, Name: agent01, IP: 45.77.105.194, Active
ID: 002, Name: agent02, IP: 155.138.165.154, Active
ID: 003, Name: agent03, IP: 45.77.93.54, Active
ID: 004, Name: agent04, IP: 45.77.4.139, Active
List of agentless devices:
删除代理
運行/var/ossec/bin/manage_agents刪除代理如果要在刪除代理之前進行確認,請使用以下命令:
[root@wazhu-manage ~]# /var/ossec/bin/manage_agents
****************************************
* Wazuh v3.8.0 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: R
Available agents:
ID: 001, Name: agent01, IP: 45.77.105.194
ID: 002, Name: agent02, IP: 155.138.165.154
ID: 003, Name: agent03, IP: 45.77.93.54
ID: 004, Name: agent04, IP: 45.77.4.139
Provide the ID of the agent to be removed (or '\q' to quit): 004
Confirm deleting it?(y/n): Y
Agent '004' removed.
****************************************
* Wazuh v3.8.0 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q: Q
如果您想在沒有確認的情況下刪除代理,請使用以下選項:
# /var/ossec/bin/manage_agents -r 001
****************************************
* Wazuh v3.8.0 Agent manager. *
* The following options are available: *
****************************************
(A)dd an agent (A).
(E)xtract key for an agent (E).
(L)ist already added agents (L).
(R)emove an agent (R).
(Q)uit.
Choose your action: A,E,L,R or Q:
Available agents:
ID: 001, Name: new, IP: any
Provide the ID of the agent to be removed (or '\q' to quit): 001
Confirm deleting it?(y/n): y
Agent '001' removed.
** You must restart OSSEC for your changes to take effect.
manage_agents: Exiting.
列出代理连接状态
請求GET /agents返回可用代理列表。注意:GET是curl的默認操作,不需要特別引用。
[root@wazhu-manage ~]# curl -u wazuh-api:wazu123 'http://149.248.9.0:55000/agents?pretty'
{
'error': 0,
'data': {
'totalItems': 5,
'items': [
{
'status': 'Active',
'name': 'wazhu-manage',
'ip': '127.0.0.1',
'manager': 'wazhu-manage',
'node_name': 'node01',
'dateAdd': '2019-01-21 09:58:43',
'version': 'Wazuh v3.8.0',
'lastKeepAlive': '9999-12-31 23:59:59',
'os': {
'major': '7',
'name': 'CentOS Linux',
'uname': 'Linux |wazhu-manage |3.10.0-957.1.3.el7.x86_64 |#1 SMP Thu Nov 29 14:49:43 UTC 2018 |x86_64',
'platform': 'centos',
'version': '7',
'codename': 'Core',
'arch': 'x86_64'
},
'id': '000'
},
{
'status': 'Active',
'configSum': 'ab73af41699f13fdd81903b5f23d8d00',
'group': [
'default'
],
'name': 'agent01',
'mergedSum': 'f8d49771911ed9d5c45b03a40babd065',
'ip': '45.77.105.194',
'manager': 'wazhu-manage',
'node_name': 'node01',
'dateAdd': '2019-01-22 07:14:26',
'version': 'Wazuh v3.8.0',
'lastKeepAlive': '2019-01-22 18:11:46',
'os': {
'major': '16',
'name': 'Ubuntu',
'uname': 'Linux |agent01 |4.4.0-137-generic |#163-Ubuntu SMP Mon Sep 24 13:14:43 UTC 2018 |x86_64',
'platform': 'ubuntu',
'version': '16.04.5 LTS',
'codename': 'Xenial Xerus',
'arch': 'x86_64',
'minor': '04'
},
'id': '001'
},
{
'status': 'Active',
'configSum': 'ab73af41699f13fdd81903b5f23d8d00',
'group': [
'default'
],
'name': 'agent02',
'mergedSum': 'f8d49771911ed9d5c45b03a40babd065',
'ip': '155.138.165.154',
'manager': 'wazhu-manage',
'node_name': 'node01',
'dateAdd': '2019-01-22 09:29:21',
'version': 'Wazuh v3.8.0',
'lastKeepAlive': '2019-01-22 18:11:39',
'os': {
'major': '16',
'name': 'Ubuntu',
'uname': 'Linux |agent02 |4.4.0-137-generic |#163-Ubuntu SMP Mon Sep 24 13:14:43 UTC 2018 |x86_64',
'platform': 'ubuntu',
'version': '16.04.5 LTS',
'codename': 'Xenial Xerus',
'arch': 'x86_64',
'minor': '04'
},
'id': '002'
},
{
'status': 'Active',
'configSum': 'ab73af41699f13fdd81903b5f23d8d00',
'group': [
'default'
],
'name': 'agent03',
'mergedSum': 'f8d49771911ed9d5c45b03a40babd065',
'ip': '45.77.93.54',
'manager': 'wazhu-manage',
'node_name': 'node01',
'dateAdd': '2019-01-22 10:15:26',
'version': 'Wazuh v3.8.0',
'lastKeepAlive': '2019-01-22 18:11:42',
'os': {
'major': '16',
'name': 'Ubuntu',
'uname': 'Linux |agent03 |4.4.0-137-generic |#163-Ubuntu SMP Mon Sep 24 13:14:43 UTC 2018 |x86_64',
'platform': 'ubuntu',
'version': '16.04.5 LTS',
'codename': 'Xenial Xerus',
'arch': 'x86_64',
'minor': '04'
},
'id': '003'
},
{
'status': 'Active',
'configSum': 'ab73af41699f13fdd81903b5f23d8d00',
'group': [
'default'
],
'name': 'agent04',
'mergedSum': 'f8d49771911ed9d5c45b03a40babd065',
'ip': '45.77.4.139',
'manager': 'wazhu-manage',
'node_name': 'node01',
'dateAdd': '2019-01-22 10:34:01',
'version': 'Wazuh v3.8.0',
'lastKeepAlive': '2019-01-22 18:11:43',
'os': {
'major': '16',
'name': 'Ubuntu',
'uname': 'Linux |agent04 |4.4.0-137-generic |#163-Ubuntu SMP Mon Sep 24 13:14:43 UTC 2018 |x86_64',
'platform': 'ubuntu',
'version': '16.04.5 LTS',
'codename': 'Xenial Xerus',
'arch': 'x86_64',
'minor': '04'
},
'id': '004'
}
]
}
}
删除代理
請求DELETE /agents/:agent_id刪除指定的代理。[root@wazhu-manage ~]# curl -u wazuh-api:wazuh -X DELETE 'http://149.248.9.0:55000/agents/003'
{'error':0,'data':{'msg':'All selected agents were removed','affected_agents':['003']}}
使用Wazuh应用程序
列出agent:您可以通過轉到Wazuh應用程序中的Agents選項卡列出並查看有關所有已註冊agent的基本信息:
單擊代理將顯示有關該代理的更多信息:
检查与Manager的连接
在檢查代理與管理器的連接之前,請首先確保代理指向管理器的IP地址。這是ossec.conf使用clientXML標記設置的。有關詳細信息,請參閱客戶端參考。ossec_configclientserveraddress149.248.9.0/addressprotocoludp/protocol/server/client/ossec_config
這將設置149.248.9.0作為Wazuh Manager服務器。完成此操作後,您需要重新啟動代理:
a.For Systemd:
# systemctl restart wazuh-agent
b.For SysV Init:
# service wazuh-agent restart
註冊代理並且已成功連接後,您可以看到連接到管理器的代理列表:
[root@wazhu-manage ~]# /var/ossec/bin/agent_control -lc #代理管理器
Wazuh agent_control. List of available agents:
ID: 000, Name: wazhu-manage (server), IP: 127.0.0.1, Active/Local
ID: 001, Name: agent01, IP: 45.77.105.194, Active
ID: 002, Name: agent02, IP: 155.138.165.154, Active
您還可以通過驗證是否已建立與管理器的UDP連接來檢查代理是否正確連接:
root@agent02:~# netstat -vatunp|grep ossec-agentd #代理客服端上
udp 0 0 155.138.165.154:58599 149.248.9.0:1514 ESTABLISHED 5088/ossec-agentd
結果應與代理和管理器IP地址匹配。
在agent_control部分中,您可以找到有關向管理器註冊的代理的狀態的信息。
分组代理
3.0.0版中的新功能。配置註冊代理有兩種方法。可以使用ossec.conf文件在本地配置它們,也可以使用集中配置遠程配置它們。如果使用集中式配置,則可以將代理分配給組,每個組具有唯一的配置。這極大地簡化了整個配置過程。
除非另行指定,否則所有新代理都自動屬於“默认”組。在安裝過程中創建此組,並將配置文件放在/var/ossec/etc/shared/default/文件夾中。這些文件將從管理器推送到屬於該組的所有代理。
1.以下是將代理分配給具有特定配置的組的步驟:
將代理添加到管理器後,使用agent_groups工具或API將其分配給組。以下方法是將具有ID 002的代理分配給組“test01”示列:
使用agent_groups:
[root@wazhu-manage default]# cd /var/ossec/etc/shared
[root@wazhu-manage shared]# mkdir test01
[root@wazhu-manage shared]# /var/ossec/bin/agen